个人信息权的体系化解释——兼论《个人信息保护法》的公法属性

《个人信息保护法》是数字时代个人信息保护的基本法。它采取了将个人信息权作为新兴公法权利的思路,确立了完整的个人信息权利保护体系,在个人信息保护问题上和《民法典》一起形成了公私法共同协力的进路。《个人信息保护法》以权利束的方式规定了个人信息主体的知情权、决定权、查阅权、复制权、更正权、删除权、可携带权和信息权利救济权等。《个人信息保护法》从立法依据、权利体系、条文设计和规制措施上都体现出鲜明的公法属性,这也可以从基本权利的双重面向和个人信息国家保护义务得到理论上的证成。这部法律是数字时代公法秩序的基石,它对公法边界的形塑仍需通过其实施来确立。     

个人信息可携带权的规范释义及制度建构

《个人信息保护法》第45条第3款所确立的个人信息转移权将信息传输关系限定在信息处理者之间,有必要对第45条第1、2款规定的复制权进行扩张解释,证立出可维护个人积极地位的个人信息接收权。个人信息转移权与个人信息接收权构成了完整的个人信息可携带权。在权利内涵方面,应结合个人信息保护整体法律制度安排和可携带权的创设意义,从权利主体、义务主体、权利客体、法律效果和行使条件等角度解释分析此权利。在制度体系建构方面,可携带权彰显了数据共享体系中的个人主体地位,其制度构建应当以场景为依托、以试验为理念不断完善和调整;其中,持续性携带模式和个人信息管理系统对于权利实现具有重要意义。     

个人信息国家保护义务理论的反思与重塑

当前的个人信息国家保护义务理论，主张将个人信息纳入基本权利保护范围，并以个人信息国家保护义务为基础建立个人信息保护法律体系。然而，在概念表达上，该理论以“客观法”表征个人信息基本权的属性，错置了客观法与主观权利之间的关系；用“间接效力”指称个人信息基本权对作为私主体的信息处理者的效力，混淆了“效力”和“效果”的语义。在宪法解释方法论层面，该理论在宏观上具有的法哲学化解释倾向、在微观上对概括性人权条款的悬置处理，使其在宪法教义学上欠缺说服力。面对立法实践，该理论无力解释作为私主体的信息处理者何以承担公法义务。确立个人信息保护权利基础的二元结构，明确个人信息基本权积极面向的主观权利属性，适度延伸个人信息基本权的效力范围，并对国家保护义务内容作相应调整，是重塑个人信息国家保护义务理论的有效途径。     

劳动法典中的个人信息保护

劳动者个人信息保护作为未来劳动法典编纂中的一项重要制度，其与劳动法典的契合程度、规范路径与保护机制宜进行体系性思考与设计。劳动法典与个人信息保护法在保护利益、调整关系以及保护机制等方面都具有社会法属性与结构特征。个人信息保护规范进入劳动法典存在劳动私法、劳动公法与集体协议三条规范路径。在实现劳动者个人信息保护上三条路径各有优劣。劳动法典在立法选择上宜采用以劳动公法为主、劳动私法与集体协议为辅，三条规范路径协同互补的保护机制。     

个人信息保护中的主观公权利

个人信息保护应采用权利模式,引入行政法上的主观公权利。在个人信息保护中引入主观公权利有助于完善权利体系、保障公法救济、提升执法动力,复杂利益平衡将主要交由立法机关负责。信息主体作为相对人时,宪法基本权利条款和我国个人信息保护法部分条款可作为保护规范提供从程序法到实体法的保护。信息主体作为第三人时,辨识保护规范的重心从私人利益变为公共利益。既保护私人利益也保护公共利益的条文证成主观公权利,而仅保护私人利益的条文证成私权利。这样一来,既可明确公法介入与私法自治的边界,也可避免有关司法解释与《中华人民共和国个人信息保护法》第66、67条相结合可能导致的公法介入泛化问题。     

论国家机关的个人信息保护法律责任——以《个人信息保护法》第68条为切入点

我国个人信息保护法第68条规定了国家机关的个人信息保护法律责任。在责任主体方面，该条涵盖国家机关和准国家机关的个人信息处理者与个人信息处理活动规制者两种身份，但存在两项缺漏：一是未明确履行个人信息保护职责的部门不依法履职的法律责任，二是未规定对非国家机关违法负直接责任的公职人员应受处分以及对国家机关违法负直接责任的人员应受行政处罚。在适用行为方面，第68条第1款所称的“不履行本法规定的个人信息保护义务”指作为个人信息处理者的国家机关违反该法义务性规定；第2款所称的“玩忽职守、滥用职权、徇私舞弊”彼此独立，其对应于我国刑法第397条第1款和第402条。在责任形式方面，第68条的“责令改正”属于内部行政行为，存在落实不力之虞，需强化内部和外部监督；“处分”指任免机关、单位给予处分和监察机关给予政务处分。违法人员具有党员身份的，还应受到组织处理、党纪处分，涉嫌犯罪的应追究刑事责任。     

个人信息权的宪法(学)证成——基于对区分保护论和支配权论的反思

《个人信息保护法》最终纳入“根据宪法”条款,表征着个人信息保护法律体系在底层逻辑上的更动。民法学上权利与利益的区分保护原理,难以适用于整个合宪性法秩序。应将个人信息权确立为宪法位阶的基本权利,并以基本权利作为针对国家的主观防御权和辐射一切法领域的客观价值秩序的原理,协调个人信息保护的私法机制和公法机制。通过对人权条款笼罩下的通信权和人格尊严条款的解释,可以在学理上证立“基本权利束”性质的个人信息权。但其具体保护则应分别归入不同基本权利条款,作出区分化、差异化的多层次构造。个人信息保护的支配权思维有其局限,告知同意模式的式微是重要表现。应将个人信息权的规范目标调整为人格的自由发展,指向免于他人的人格干预。从支配权到人格发展权的思维转换,有助于规制对已收集信息的不当利用、破除“信息茧房”、缓和个人信息保护与利用之间的紧张,以及在“个人—平台—国家”的三方关系中有效保护个人的自决,同时为数据产业保留发展空间。     

论国家机关处理个人信息的合法性基础

我国个人信息保护法对国家机关处理个人信息作出了特别规定,但未明文解释其适用对象或澄清处理的合法性基础。个人信息保护领域的国家机关应采广义,除了通常的国家机关,还包括法律、法规授权提供公共服务的组织和规章授权组织。根据我国个人信息保护法第13条和民法典第1036条,国家机关处理个人信息具有多元的合法性基础:法定基础包括履行法定职责所必需,订立、履行合同或人事管理所必需,为应急所必需,合理处理已自愿或合法公开的个人信息,法律、行政法规规定的其他情形;意定基础指取得个人同意;酌定基础指为维护公共利益或者信息主体合法权益而合理处理个人信息。不同的合法性基础对应不同的告知同意规则,需准确理解适用。     

论个人信息保护请求权的行使

个人信息保护请求权是为保护个人的知情权、决定权等个人信息权益及其最终保护的若干基本人权、宪法上的权利与自由、民法上的人格权等而设立的程序性权利。《个人信息保护法》第50条规定了个人信息保护请求权的具体行使方式。个人就个人信息保护请求权提起诉讼的，应以个人信息处理者拒绝其行使权利的请求为前提。人民法院处理个人信息保护请求权纠纷，应依据法律、行政法规的规定对个人信息处理者拒绝个人行使权利的正当性进行审查。符合行使个人信息保护请求权的起诉条件的，个人可以就维护权利的合理费用一并提出损害赔偿请求。个人因个人信息被侵害受到人身、财产损害的，可依据《个人信息保护法》第69条的规定直接提起诉讼，不以向个人信息处理者先行提出损害赔偿请求为前提。     

论个人信息保护限制的立法范式与体系逻辑——以应对突发疫情事件为例

对个人信息保护进行适当限制是平衡个人权益与公共利益的必然选择。基于特定的紧急背景在公法中设定个人信息保护限制,虽有助于集中力量驱逐疫情,但往往忽视对作为私权客体性的个人信息对象考察,容易侵犯个人信息法益。当前我国民法典对个人信息保护的限制规定虽符合疫情防控下个人信息保护限制的紧急需求,但缺失对权利限制的一般条款以及合理实施的进一步解释,亟待更精细的规范进行界定。这表明应对重大疫情防控时,我国立法在个人信息保护的合理限制问题时出现了制度缺位。原因在于,无论是公法还是私法都无法独自处理好疫情防控下的个人信息保护限制问题。公、私法二元性质个人信息保护立法框架契合数据治理理论的内在属性,也是风险社会中公私法协力的必然要求。重大疫情背景并不决定个人信息保护限制的二元范式,这是由个人信息的属性本身所决定的。公法和私法分别规定个人信息保护限制规则均具有部分正当性来源,但从法律的实现效果以及比较立法趋势来看,将个人信息保护限制置于一部公私复合的个人信息保护法之中更符合时代发展。文章最后在该立法范式引导下,反思了当前个人信息保护限制立法体系逻辑,并提出了个人信息保护限制立法完善的建议。     

个人信息在国家机关之间传输的类型化治理

个人信息传输是我国《个人信息保护法》第4条第2款规定的一种个人信息处理行为，国家机关之间通过数据共享技术传输个人信息，在我国数字政府建设中渐成常态。基于传输主体的组织形态、传输发起的缘由等不同因素，个人信息在国家机关之间的传输行为呈现一体化和点状式两种实践形态。前者是基于公共数据共享平台而展开的规模化传输，后者则是国家机关在履行法定职责或法定义务过程中，因职权互动或依职权主动而展开的个案式传输。从本质上而言，以上两类行为在法律属性上属于双元性事实行为。为了应对“一体化形态”的叠加风险与“点状式形态”的特殊风险，宜基于类型化视角对国家机关间个人信息传输行为进行适法性调适，以法律保留原则对传输行为区分不同的规范强度，根据程序正当原则对传输行为形成梯度性约束，并按照均衡性原则对传输行为进行差异化调控。     

个人信息保护法立法模式的选择——以德国经验为视角

个人信息保护法调整范围囊括公、私两个领域,那么应当以何种立法技术来处理两套规范在同一法典中的关系？总结德国个人信息保护法的优劣得失,基于对个人信息收集基本原则及其例外在公私领域不同的适用情况,可以看出,德国的区别对待模式更加符合不同领域内个人信息保护的具体要求。     

捍卫权利模式——个人信息保护中的公共性与权利

个人信息权和个人信息受保护权是两种相对立的模式,学界通常认为个人信息权赋予个人排他性的支配权,这与个人信息的公共性相矛盾。个人信息的公共性并不必然反对权利模式。一种广义的公共性包含着个人信息所负载的公共利益,个人信息的公开化也是网络时代个人和商业交往的必要前提,但这并不意味着要否定个人信息保护的权利模式。公共利益具有多样性,正是某些公共利益支持了权利。权利所蕴涵的主张权确保了人的尊严和自由,这也是个人信息保护法的立法宗旨;个人信息受保护权做不到这一点,它不具有义务指向性。但在立法模式上,个人信息保护法要以义务性规范或禁止性规范为主,这是由网络空间个人信息的性质决定的。     

论个人信息主体基础法益的设定与实现——基于“个人信息处理规则”反射利益的视角

我国民法典和个人信息保护法并没有确立“个人信息权”概念，但有关条文使用了“个人信息权益”的概念表述，由此带来了关于“个人信息权益”的理解困惑。从法律实证的角度来说，现行法其实并未对个人信息主体基础法益进行直接确权，而是将其隐含规定在对“个人信息处理规则”为重心的体系设计之中，呈现为一种反射利益意义的基础法益设定。在这种意义上，可以将“个人信息处理规则”视为“以保护他人为目的的法律”。针对个人信息处理规则隐含个人信息基础法益的特点，我国个人信息保护法还引入了以强化多重治理体系、压实行为主体责任为内容的独特实现路径，具体包括“个人在个人信息处理活动中的权利”“、个人信息处理者的义务”“、履行个人信息保护职责的部门”“、法律责任”四个方面的合力。以此为分析，可知我国个人信息保护法第四章“个人在个人信息处理活动中的权利”，其所确立的多项个人信息保护权，属于强化治理体系结构中的机制内涵，而不可混同理解为基础法益。这些权利因具有请求权的形式，也称个人信息保护请求权，可以纳入广义人格权请求权的范畴。     

我国制定个人信息保护法的必要性

我国目前关于个人信息方面的立法,主要集中在宪法和一些民事立法中,部门法中并没有直接承认个人信息权,也没有一部冠有个人信息保护法之类的立法。不过,我国已经启动个人信息保护的立法程序,并且已经形成专家立法建议稿,如齐爱民教授主持的《个人信息保护法示范法草案学者建议稿》和周汉华教授主持的《个人信息保护法专家建议稿》就是其中的代表。加强个人信息保护的研究,明确个人信息保护法律制度的性质、内容、保护原则、保护机制,制定符合我国国情又与国际接轨的高水平个人信息保护法刻不容缓。     

个人信息国家保护义务及展开

个人信息保护法体系建构的基础是国家在宪法上所负有的保护义务,该义务对应着"个人信息受保护权",而不是"个人信息权"。将个人信息作为私权客体的权利保护模式,在规范逻辑、制度功能等方面存在局限;应以"个人信息受保护权—国家保护义务"框架建构个人信息的权力保护模式。在数字时代,个人信息国家保护义务意味着国家不仅应履行尊重私人生活、避免干预个人安宁的消极义务,还应通过积极保护,支援个人对抗个人信息处理中尊严减损的风险。基于控制"数据权力"这一侵害风险源的需要,国家一方面应避免过度侵入个人信息领域;另一方面应通过制度性保障、组织与程序保障以及侵害防止义务的体系化,营造个人信息保护的制度生态。     

大数据时代下个人信息权的私法属性

个人信息权的法律属性是个人信息保护亟需回答的首要问题.当前我国不乏个人信息保护的相关规范,但仍缺少对个人信息权的明确规定.司法实践上,亦对个人信息的法律属性认识不一.纵观世界各国,有以欧陆“逐步发展个人信息权”与美国“隐私权保护”为代表的两种模式.在法理学说上,个人信息权主要有六大学说:宪法人权说、一般人格权说、隐私权说、财产权说、新型权利说、独立人格权说.其中,唯有独立人格权说恰当阐释了个人信息权的私法属性.个人信息权具有与大数据时代特征相适应的独特内涵,其范围、内容均无法为其他权利所替代,社会情况的深刻变化呼唤个人信息权的诞生.在法律属性上个人信息权是一项独立的人格权.     

恢复性司法：检察机关提起的个人信息保护公益诉讼

个人信息保护公益诉讼的规范框架蕴含了恢复性司法的理论精神,力图通过公法和私法协同运作实现赔偿与制裁的多个制度目标。检察机关提起个人信息保护公益诉讼,是检察权的重要意涵,也是检察机关作为宪法上法律监督机关性质的集中体现。     

个人信息公益诉讼惩罚性赔偿适用问题探究

2021年颁行的《个人信息保护法》在第70条创设性增设公益诉讼制度,意在解决大数据时代个人信息保护“主体性弱化”救济的困境,但缺乏相应解释与具化程序观照的原则性规定无力支撑其立法初衷实现。在证成惩罚性赔偿制度介入个人信息公益诉讼基础上,应当分别从宏观微观两个维度探究其实现路径与具化制度建构。宏观上,在保障个人信息公益诉讼惩罚性赔偿价值独立与谦抑适用基础上,完成其内容体系的设计;微观上,则从规范要素、计算规则、管理制度三个面向积极实现惩罚性赔偿制度在个人信息公益诉讼中的规则供给,“以期达成大数据时代产业转型之际个人信息保护与数据产业发展间动态平衡。     

大型平台的个人信息“守门人”义务

《个人信息保护法》第58条规定了大型平台的个人信息保护特别义务,即“守门人”义务,该条款也可以称为“守门人”条款。“守门人”条款在《个人信息保护法》的体系中具有显著的特殊性,《个人信息保护法》以规制个人信息处理者的个人信息处理行为为中心;但第58条规制对象是大型平台,大型平台在第58条语境下并非个人信息处理者,而是一种管理者的角色。第58条仅规制大型平台对平台内经营者的管理行为,而不规制其自身的个人信息处理行为。这种特殊性对第58条的解释产生了很大的影响,尤其体现在大型平台违反第58条的法律责任上。《个人信息保护法》的法律责任部分是针对个人信息处理行为进行设计的,大型平台违反第58条时,其法律责任的确定不能简单套用相关条文。